Linee guida in materia di valutazione di impatto sulla protezione dei dati

Il Garante per la privacy ha pubblicato sul proprio sito la traduzione italiana della versione emendata delle Linee guida del Gruppo di lavoro ex articolo 29 (Working Party 29 – “WP29”) in materia di valutazione di impatto sulla protezione dei dati (c.d “data protection impact assessment”) pubblicata dal WP29 il 4 ottobre 2017. La prima versione è stata pubblicata dal WP29 il 4 aprile 2017.

Ai sensi del Regolamento (UE) 2016/679 (General Data Protection Regulation – “GDPR”), quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, i titolari sono tenuti a svolgere una valutazione di impatto prima di darvi inizio, consultando l'autorità di controllo nel caso in cui le misure tecniche e organizzative da loro stessi individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti. A pochi mesi dall’entrata in vigore del GDPR questa resta una delle novità più rilevanti introdotte dal GDPR e che allo stesso tempo presenta maggiori incertezze per i titolari del trattamento.

Le Linee guida del WP29 offrono alcuni chiarimenti sul tema; in particolare, precisano: quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati all'articolo 35 del GDPR), chi debba condurla, in cosa consista e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le Linee guida chiariscono, infine, i casi in cui la valutazione di impatto non è richiesta.

Scarica le Linee Guida